PowerScale: NTLM-godkendelse er deaktiveret, når klyngen kører i FIPS-kompatibel tilstand efter OneFS 9.5

Summary: Fra og med OneFS 9.5 deaktiveres NTLM-godkendelse, når klyngen kører i FIPS-kompatibel tilstand (hærdning).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

I overensstemmelse med strengere FIPS-krav vil aktivering af hærdning på en PowerScale-klynge, der kører OneFS 9.5 eller nyere, resultere i deaktivering af NTLM-godkendelse. Denne funktion kan ikke genaktiveres, da ikke-NTLM-godkendelse er et krav for FIPS-overholdelse i version 9.5 og nyere. Derfor er det kun Kerberos-godkendelse (KRB), der er tilgængelig. Denne ændring påvirker primært SMB-klienter, men kan påvirke alle klienter, der bruger NTLM-godkendelse. Hvis klienter ikke er konfigureret til Kerberos-godkendelse, før hærdning aktiveres, vil de opleve DU (Data Unavailability), da de ikke kan godkende til klyngen ved hjælp af NTLM.

Cause

Fra og med version 9.5 annoncerer klyngen ikke længere gss-ntlm som godkendelsesmetode, hvis hærdning er aktiveret. Denne ændring er tilsigtet og skyldes de strengere sikkerhedskrav til FIPS. Klyngen annoncerer kungss-krb5 som den tilgængelige godkendelsesmetode.

Resolution

Det er afgørende at sikre, at alle klienter, især SMB-klienter, bruger Kerberos som godkendelsesmetode, før Hærdning aktiveres på en klynge, der kører OneFS 9.5 eller nyere.

For SMB-klienter kan du kontrollere, om nogen aktuelt tilsluttede klienter bruger NTLM ved at køre følgende kommando:
isi_for_array -sX 'isi smb sessions list'

Hvis nogen aktuelt tilsluttede klienter er angivet i formatet domain\username, bruger de NTLM-godkendelse.

MyCluster-6: Lnn  Computer     User
MyCluster-6: --------------------------------------
MyCluster-6: 6    10.60.34.202 MYDOMAIN\Administrator
MyCluster-6: --------------------------------------
MyCluster-6: Total: 1

 

Hvis nogen aktuelt tilsluttede klienter er angivet i formatet username@domain.com, bruger de Kerberos-godkendelse (KRB).

MyCluster-6: Lnn  Computer     User
MyCluster-6: ------------------------------------------
MyCluster-6: 6    10.60.34.202 Administrator@MYDOMAIN.COM
MyCluster-6: ------------------------------------------
MyCluster-6: Total: 1

 

Du kan finde flere oplysninger om Kerberos-godkendelse (KRB) for SMB-klienter i denne ressource

Affected Products

Isilon, PowerScale
Article Properties
Article Number: 000274777
Article Type: Solution
Last Modified: 14 Feb 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.